Linux 技术顾问委员会(TAB)发布了一份新的报告,详细阐述了在明尼苏达大学(UMN)的研究人员向 Linux 内核提交了有害代码后所采取的补救措施。
报告指出,多年来,UMN 在内核社区内工作都表现良好,他们提交了许多 bug-fixes,并成功被合并到过去的内核版本中。然而在 2020 年,UMN 社区的一个成员选择做了一个研究项目,该项目涉及提交补丁并试图故意在内核中引入缺陷。自此,内核社区和 UMN 之间的信任被打破。且之后,UMN 的开发者在沉寂了 7 个月后,开始向社区提交新的少量低质量的补丁。受此影响,内核社区决定停止接受来自 UMN 的贡献,并不得不重新审查该大学先前提交的所有文件。
尽职调查要求进行审计,以确定哪些作者参与了 UMN 的不同研究项目,确定任何有缺陷的补丁的意图,并进行删除。 重新建立社区对研究者群体的信任也很重要,因为这一事件可能会对双方的信任产生广泛的影响,也可能会使其他研究者参与内核开发的工作受到影响。开发者社区应该能够相信,研究人员发送的高质量补丁是为了改进内核,而研究人员应该相信,当出现错误时,开发者社区不会破坏研究人员的声誉。 本报告中的建议旨在超越这种冲突,提供一种方法来帮助两个社区更好地合作。
目前,来自明尼苏达大学的 435 个提交均被重新审查,其中绝大多数的提交被认为是没有问题的。剩下的里面,有 39 个提交被判定是不正确的,需要修复;25 个提交存在漏洞,但已经被后来的提交所修复;12 个有问题的提交被判定为不再重要。还有 9 个有漏洞的提交存在于 Kangjie Lu 教授的研究团队成立之前,其中一个提交已经根据作者的要求进行了删除。
此外,该大学的研究人员还使用两个假身份,提交了五个有问题的补丁程序。报告指出,此举违反了关于如何向 Linux 内核贡献代码的文件要求。这似乎表明,明尼苏达大学允许研究人员在签署提交的时候使用伪造的身份。
Linux 技术顾问委员会希望通过尽力解决错误,可以恢复内核社区的信任,以接受研究人员的意见。并给出了两个具体建议,旨在确保内核项目和明尼苏达大学在未来能够继续成功合作:
- UMN 必须提高建议纳入内核的修改的质量
- TAB 与研究人员合作,共同创建一个文档,解释所有研究小组在与内核(以及一般的开源项目)合作时应遵循的最佳规范。
同时,其认为,明尼苏达大学可以指定一组有经验的内部开发人员,在公开提交内核修改建议之前,对这些修改进行审查并提供反馈。这种审查可以发现明显的错误,并使社区不必反复提醒开发人员遵守编码标准和彻底测试补丁等基本做法。这可以产生更高质量的补丁,在内核社区中遇到的问题也会更少。
而在这样的审查程序建立起来之前,来自明尼苏达大学提交的补丁将继续受到冷遇。Linux 技术顾问委员会称,其建议明尼苏达大学找到至少一位经验丰富的开发人员来担任此职务;如果该大学需要帮助寻找此类型的开发者或者建立一个内部审查程序,他们将很乐意提供帮助。
详情可查看:https://lkml.org/lkml/2021/5/5/1244
延伸阅读:
猜你喜欢: